ГОСТ Р ИСО/МЭК 27019-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)

9.3 Ответственность пользователей

9.3.1 Использование закрытой аутентификационной информации

Дополнительная рекомендация по реализации, приведенная в ИСО/МЭК 27002:2013, 9.3.1, является следующей:

В области управления технологическими процессами не всегда возможно обеспечить использование защищенной закрытой аутентификационной информации, например:

- устаревшие системы часто не позволяют использовать индивидуальные пароли и/или пароли с необходимой стойкостью;

- зачастую невозможно подключить системы, работающие на децентрализованных предприятиях, таких как подстанции или распределенные источники генерирования электрической энергии, производственное оборудование, к центральной службе каталогов, что означает необходимость использования локальных учетных записей. Это делает практически невозможным регулярное изменение закрытой аутентификационной информации для этих учетных записей.

Поэтому следует четко указывать пользователю, когда применяется общая политика закрытой аутентификации и когда допускаются исключения, например, когда должны использоваться различные пароли или когда вообще невозможно использовать какие-либо пароли (для устаревших систем).

Особенно в ситуациях, когда для доступа к системе используется общая информация о закрытой аутентификации, следует учитывать следующее:

- общая информация о закрытой аутентификации должна быть максимально защищена;

- ее следует менять чаще, чем отдельные закрытые аутентификационные данные;

- она должна быть изменена в случае кадровых перестановок.

В частности, стандартные пароли, используемые поставщиками систем, должны рассматриваться как небезопасные и поэтому должны быть изменены. Закрытая аутентификационная информация должна быть доступна только лицам, участвующим в работе системы.